可能重复:
每天有几百次闯入企图是否正常?
如果我发现有人强制我的服务器密码,我该怎么办?
我有一个Ubuntu 10.04 VPS盒子。 它已经安装了几天,只有ssh,postfix / dovecot运行。 该服务器旨在用于我个人的需求,如电子邮件和RoR开发。 我的/var/log/auth.log已经大概是300k,并且充满了这样的消息:
Jul 4 03:18:36 artemis sshd[360]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=66.96.201.81 user=root Jul 4 03:18:38 artemis sshd[360]: Failed password for root from 66.96.201.81 port 58040 ssh2 Jul 4 03:18:39 artemis sshd[362]: reverse mapping checking getaddrinfo for 66-96-201-81.static.hostnoc.net [66.96.201.81] failed - POSSIBLE BREAK-IN ATTEMPT!
还有其他随机用户,他们试图login,如user , testftp , ftp , samba , postgres , admin , alex等。 我在一些IP地址上随机做了whois,他们似乎属于中国,乌拉圭,厄瓜多尔和其他一些国家。 这种暴力破解企图有多普遍? 我需要担心吗? 我应该安装防火墙还是采取其他安全措施?
你不应该担心这样的尝试,因为它们是非常普遍的,你可以(而且必须要恕我直言)做,以减less服务器被攻陷的风险如下:
使用你的防火墙,只要你能让你的IP连接到非公共服务,无论它们是什么。 无论如何设置您的防火墙阻止最常见的stream氓/奇怪的数据包(ICMPredirect,假的IP范围…),并允许连接只有在您需要的端口和协议。
使用ssh是你的优势,使用ssh密钥作为你唯一的身份validation方法和密码保护你的私钥,这样字典/暴力攻击就再也没有机会了。 如果您不能使用密钥,请使用“地址”的“匹配”指令来进一步限制哪个帐户可以从公共IPlogin。
看看fail2ban ,这个工具可以dynamic地改变防火墙规则,阻止来自同一IP的太多尝试,注意你可以成为你自己的受害者:)
有关fail2ban的更多信息,请点击这里
你注意到的是非常普遍的 – 只要你在面向公众的互联网上有服务器,人们就会试图插入其中,因此,保持你的代码和软件包是最新的。 是的,使用一个好的防火墙也很重要。
我使用一个称为configuration服务器安全(CSF)的程序 。 这很好,因为它会自动logging这些东西,并且可以将其configuration为在多次失败的SSH尝试后永久阻止某个IP地址。
我做的另一个做法是在sshd_config文件中减less“最大失败尝试次数”。
我和你有同样的问题。 多个SSH攻击和字典攻击。 我build议使用IPTables方法 – 无论是手动创build规则还是使用诸如fail2ban或denyhosts之类的软件包。 类似的东西是pam_shield,但它的用途有限。
我会build议一个基于非密码的SSHlogin(即基于证书/密钥的),以及限制可以进行SSHlogin的地址。
有关可用于此目的的一些IPTables规则的示例,请访问: http : //www.thatsgeeky.com/2011/01/limiting-brute-force-attacks-with-iptables/